《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 專家解讀 | 把握《網(wǎng)絡(luò)安全審查辦法》邏輯要旨

專家解讀 | 把握《網(wǎng)絡(luò)安全審查辦法》邏輯要旨

2021-11-14
來源: 中國信息安全

  中國的《網(wǎng)絡(luò)安全審查辦法》(以下簡稱《審查辦法》)于2020年4月13日發(fā)布,,同年6月1日生效,。前身是從2017年開始實施的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》。從試行到成型,,近三年間的實踐和摸索,,最終揚(yáng)棄,、濃縮、升華于新的規(guī)章之中,。2021年7月,,中央網(wǎng)信辦再次發(fā)布《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》,此次修訂的重點是落實《數(shù)據(jù)安全法》關(guān)于數(shù)據(jù)安全審查的相關(guān)內(nèi)容,,但不可否認(rèn)的是,,《審查辦法》的核心關(guān)切依然是關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全。

  《審查辦法》解決的核心事項是:產(chǎn)品或服務(wù)用于關(guān)鍵信息基礎(chǔ)設(shè)施中可能帶來的安全問題,。換句話說,,之所以發(fā)起審查,是因為具體的關(guān)鍵信息基礎(chǔ)設(shè)施運營者因采購了特定的網(wǎng)絡(luò)產(chǎn)品和服務(wù),,可能因此給關(guān)鍵信息基礎(chǔ)設(shè)施帶來“脆弱性”,,而非產(chǎn)品或服務(wù)自身內(nèi)在的安全問題。后者主要由《網(wǎng)絡(luò)安全法》第二十二,、二十三和三十六條及其配套制度所解決,。沿著這個基本邏輯,就能很好地掌握中國《審查辦法》設(shè)立的審查制度的各個方面,。

  審查對象明確

  在《審查辦法》中,,安全審查的目標(biāo)是“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,維護(hù)國家安全”,,將審查著眼于產(chǎn)品和服務(wù)在供應(yīng)鏈安全方面給關(guān)鍵信息基礎(chǔ)設(shè)施帶來的風(fēng)險,。因此,審查的對象始終是關(guān)鍵信息基礎(chǔ)設(shè)施運營者所采購的一個個具體的產(chǎn)品或服務(wù),。為此,,《審查辦法》還明確了產(chǎn)品或服務(wù)的范圍,第二十一條規(guī)定:“本辦法所稱網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備,、高性能計算機(jī)和服務(wù)器,、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件,、網(wǎng)絡(luò)安全設(shè)備,、云計算服務(wù),以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù),?!睂﹃P(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)商的審查,《審查辦法》主要考察其“遵守中國法律,、行政法規(guī),、部門規(guī)章情況”。

  歸納起來,,中國的審查對象范圍明晰,,審查對象以具體的產(chǎn)品或服務(wù)為主,,供應(yīng)商為輔。對供應(yīng)商的審查,,不能獨立于其提供的具體的產(chǎn)品或服務(wù),。因此,中國不存在主動發(fā)起針對某一供應(yīng)商的獨立審查或風(fēng)險評估,。

  評估要素具體

  首先,,《審查辦法》的核心在于考察“具體的產(chǎn)品或服務(wù)+具體的使用場景”。這體現(xiàn)了對安全的一種先進(jìn)認(rèn)識,,即“網(wǎng)絡(luò)安全是相對的而不是絕對的”,。同樣,產(chǎn)品和服務(wù)的安全性也是相對的,。安不安全,,很大程度上依賴于該產(chǎn)品和服務(wù)的使用主體、使用目的,、使用方式以及產(chǎn)品供應(yīng)渠道的可靠程度等因素,,并不存在衡量安全性的絕對、恒定的基準(zhǔn),。因此,,《審查辦法》重點審查采購、使用具體的產(chǎn)品和服務(wù)后,,是否會造成以下兩方面后果,。其一,關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制,、遭受干擾或破壞,,以及重要數(shù)據(jù)被竊取、泄露,、毀損的風(fēng)險(第九條第一款),;其二,產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害(第十條第二項),。

  其次,《審查辦法》第十條第三項審查“產(chǎn)品和服務(wù)的安全性,、開放性,、透明性、來源的多樣性”,??纱笾伦鋈缦吕斫猓喊踩允侵府a(chǎn)品和服務(wù)本身被入侵、損毀,、破壞,、篡改,、操控等風(fēng)險;開放性是指產(chǎn)品和服務(wù)的兼容性,、互操作性問題,;透明性是指產(chǎn)品和服務(wù)內(nèi)部的工作原理、機(jī)制是否可為網(wǎng)絡(luò)運營人員所理解,、干預(yù)或管控,;來源的多樣性是指避免過度依賴問題。

  最后,,《審查辦法》第十條第三項審查“供應(yīng)渠道的可靠性以及因為政治,、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險”的審查,,實質(zhì)上是更進(jìn)一步審查各個可能造成供應(yīng)中斷的因素,。例如,微軟停止對XP操作系統(tǒng)的安全更新服務(wù),,對大量使用XP系統(tǒng)的黨政機(jī)關(guān)信息系統(tǒng)的安全風(fēng)險,;又如,美國通過出口管制措施對芯片全球供應(yīng)鏈的控制能力,,對特定關(guān)鍵信息基礎(chǔ)所采購的某一款芯片,,是否能夠持續(xù)供應(yīng)的潛在影響。

  可見,,中國的風(fēng)險考量要素中并沒有國別因素,。網(wǎng)絡(luò)安全審查的注意力始終在具體的產(chǎn)品和服務(wù),以及該產(chǎn)品或服務(wù)用于具體的關(guān)鍵信息基礎(chǔ)設(shè)施后,,可能引入的脆弱性問題,。可以說,,網(wǎng)絡(luò)安全審查主要是一種技術(shù)性,、客觀性的評估。

  審查由運營者主動發(fā)起

  在《審查辦法》中,,審查啟動的主要要件是“運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的,,應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險。影響或者可能影響國家安全的,,應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查”,。審查申報的主體明確為作為采購方的“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”。而且,,采購方主動“預(yù)判產(chǎn)品或服務(wù)可能帶來的國家安全風(fēng)險”并據(jù)此決定是否申報審查,,成為其法定義務(wù)之一。采購方應(yīng)主動通過法律工作管理自身的供應(yīng)鏈風(fēng)險,,例如第七條所規(guī)定的:“應(yīng)通過采購文件,、協(xié)議等要求產(chǎn)品和服務(wù)提供者配合網(wǎng)絡(luò)安全審查,,包括承諾不利用提供產(chǎn)品和服務(wù)的便利條件非法獲取用戶數(shù)據(jù)、非法控制和操縱用戶設(shè)備,,無正當(dāng)理由不中斷產(chǎn)品供應(yīng)或必要的技術(shù)支持服務(wù)等”,。

  把上述法定義務(wù)結(jié)合起來,可以看到《審查辦法》對采購方的角色定位:既然特定的產(chǎn)品和服務(wù)是采購方自主選擇的,,那采購方應(yīng)當(dāng)成為責(zé)任主體(即所謂的權(quán)責(zé)一致原則),,因此采購方應(yīng)當(dāng)在力所能及的范圍內(nèi),主動管理和降低供應(yīng)鏈安全風(fēng)險,。此外,,中國的制度安排極大地尊重了關(guān)鍵信息基礎(chǔ)設(shè)施運營者結(jié)合自身運營場景的風(fēng)險判斷和商業(yè)決策,避免了政府無差別,、大規(guī)模地介入企業(yè)日常的采購行為,。換句話說,只有當(dāng)某產(chǎn)品或服務(wù)在某個場景中的使用,,所造成的安全風(fēng)險超出了運營者的能力范圍,,網(wǎng)絡(luò)安全審查機(jī)制才會啟動。這樣的規(guī)定,,反過來避免公權(quán)力主動對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)市場提前介入,,主動對供應(yīng)商風(fēng)險狀況、供應(yīng)商多樣性進(jìn)行評估,,避免網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)市場成為一個高計劃性,、高管制的市場,從而失去市場活力和創(chuàng)新動力,。

  審查結(jié)論審慎

  由于《審查辦法》的核心在于考察“具體的產(chǎn)品或服務(wù)+具體的使用場景”,。因此,審查所得出的結(jié)論是具體的產(chǎn)品或服務(wù)是否可以使用于某個具體的場景中,。換句話說,,即便單次的網(wǎng)絡(luò)安全審查不通過,并不必然導(dǎo)致該產(chǎn)品或服務(wù)在其他關(guān)鍵信息基礎(chǔ)設(shè)施運營者發(fā)起的網(wǎng)絡(luò)安全審查中不通過,。在上述思路的指導(dǎo)下,,為了避免對市場外界造成某個產(chǎn)品或服務(wù)不安全的整體印象,網(wǎng)絡(luò)安全審查的結(jié)果,,多數(shù)情況下僅會“以書面形式將審查結(jié)論通知運營者”(第十二條),,并不會向其他運營者或者社會各界公開。之所以會有這樣的結(jié)論,,還是因為《審查辦法》審查的對象始終是關(guān)鍵信息基礎(chǔ)設(shè)施運營者所采購的一個個具體的產(chǎn)品或服務(wù)。因此即便單次審查不通過,,也不會造成該供應(yīng)商的全線產(chǎn)品或服務(wù)被所有關(guān)鍵信息基礎(chǔ)設(shè)施運營者拒之門外,,造成“一次審查不通過,,滿盤皆輸”的局面。

  總之,,中國的網(wǎng)絡(luò)安全審查不把供應(yīng)商的風(fēng)險狀況作為安全的邏輯起點,,也不會“就事論事”,更不會造成“貼標(biāo)簽”的效應(yīng),。單次審查不通過僅僅意味著特定的關(guān)鍵信息基礎(chǔ)設(shè)施運營者在某個場景或環(huán)節(jié)中不應(yīng)使用特定的產(chǎn)品或服務(wù),,不會同時影響該供應(yīng)商旗下的所有產(chǎn)品或服務(wù),也就避免了“連帶損害”的效果,。相關(guān)制度設(shè)計還通過尊重運營者的自主安全決策,,反向激勵運營者提升安全水平。這樣有利于維護(hù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)市場的多樣性,,鼓勵來自不同國家的網(wǎng)絡(luò)運營者相互競爭和持續(xù)創(chuàng)新,,為供應(yīng)市場持續(xù)發(fā)展提供源源不斷的動力。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。